一点关于系统维护和网络安全的东西
[ 2007-03-25 03:48:00 | 作者: sun ]
最近很多朋友都中了马被盗了号,所以在收集了一些关于系统安全和维护的东东供大家参考(提示,这些方法只能对付一般的初学者的攻击。)。欢迎大家批评指正和补充。
首先,说一点关于第三方软件的东西。(我对3721、雅虎助手恨之入骨。尽管雅虎不知道怎么买通了公安部门说这不是垃圾软件。)系统运行速度变慢。很多朋友就认为是中了病毒或者木马,其实并不是这样的。第三方软件会占用很大甚至全部的系统资源(如sploosv远程打印机的问题。还有更可恨的stdup)。所以建议大家下载360安全卫士先把自己电脑里的第三方软件和那些不需要的自启动程序清除(建议上奇虎官方网站www.360safe.com上或者www.xdowns.com绿盟上下载。因为上面的软件一般很少捆绑插件。)超级兔子虽然也有相似的功能,但超级兔子还是带了个超级兔子上网精灵这么个第三方软件。所以不推荐。
然后,关于防火墙杀毒软件的选择。第一,我不推荐瑞星。瑞星的防毒杀毒能力都不强,很多北斗加壳的木马都不能查出来(什么是壳?形象简单的说就是给木马穿了马甲让乃认不出来。)防火墙我推荐avast,是一款捷克出品的防火墙,在免费的当中算是很出色的了。有14个月的免费使用期。(同样建议在绿盟下载,提示,不是做广告,我和绿盟没有任何商业关系。)至于杀毒,卡巴斯基还凑合。诺顿也不错。
好,现在开始进入正题。
一、删除共享
运行cmd,在下面键入命令net share可以看到你的电脑上存在的共享,然后用net share 共享名称 \delete命令删除共享(注意命令中有3个空格)
二、删除ipc$空连接
打开注册表(什么,乃不知道什么是注册表),HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\Lsa 项里数值名称“restrict anonymous”的数值数据由0改为1。
三、关闭139、445、和3389端口
139端口是一种TCP端口,该端口用于网上邻居访问局域网中的共享文件或共享打印机。445端口也是一种TCP端口,和139的作用差不多。3389是远程桌面控制协助端口。
关闭139端口的方法是在网络属性->Internet协议(TCP/IP)属性->高级对话框中的WINS选项页中将最下面的3选1选项卡从默认的“启用 TCP/IP 上的NetBIOS”改为“禁用 TCP/IP 上的NetBIOS”。
关闭445端口的方法是打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中新建Dword值“SMBDeviceEnabled”将其值设置为0。
关闭3389端口的方法是用鼠标右键单击桌面上的“我的电脑”图标,从弹出的快捷菜单中选中“属性”选项,在随后打开的属性设置界面中,单击“远程”标签,并在对应的标签页面中,取消“允许用户远程连接到这台计算机”和“允许从这台计算机发送远程协助邀请”这两个选项,最后单击一下“确定”按钮,就能达到屏蔽3389端口的目的了。
当然,如果你对上网需要的端口有一定的了解,可以直接利用TCP/IP筛选工具筛选有用的端口。打开本地连接->属性->TCP/IP协议->属性->高级->选项->TCP/IP筛选->属性里就可以筛选网络端口。
四、禁用服务
打开控制面板->管理工具->服务中禁止下列服务。
1.NetMeeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。如果服务停止,Alerter消息不会被传输)。这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能,可以禁止它。
5.Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
6.Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。如果不经常使用,可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
7.Telnet:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet客户,包括基于 UNIX 和 Windows 的计算机。又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
8.Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它。
9.Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
可以禁止的服务
以上十项服务是对安全威胁较大的服务,普通用户一定要禁用它。另外还有一些普通用户可以按需求禁止的服务:
1.Alerter:通知所选用户和计算机有关系统管理级警报。如果你未连上局域网且不需要管理警报,则可将其禁止。
2.Indexing Service:本地和远程计算机上文件的索引内容和属性,提供文件快速访问。这项服务对个人用户没有多大用处。
3.Application Layer Gateway Service:为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。如果你没有启用Internet连接共享或Windows XP的内置防火墙,可以禁止该服务。
4.Uninterruptible Power Supply:管理连接到计算机的不间断电源,没有安装UPS的用户可以禁用。
5.Print Spooler:将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。
6.Smart Card:管理计算机对智能卡的读取访问。基本上用不上,可以禁用。
7.Ssdp Discovery Service:启动家庭网络上的upnp设备自动发现。具有upnp的设备还不多,对于我们来说这个服务是没有用的。
8.Automatic Updates:自动从Windows Update网络更新补丁。利用Windows Update功能进行升级,速度太慢,建议大家通过多线程下载工具下载补丁到本地硬盘后,再进行升级。
9.Clipbook:启用“剪贴板查看器”储存信息并与远程计算机共享。如果不想与远程计算机进行信息共享,就可以禁止。
10.Imapi Cd-burning Com Service:用Imapi管理CD录制,虽然Win XP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。
11.Workstation:创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接都将不可用。
12.Error Reporting Service:服务和应用程序在非标准环境下运行时,允许错误报告。如果你不是专业人员,这个错误报告对你来说根本没用。
再就是如下几种服务对普通用户而言也没有什么作用,大家可以自己决定取舍,如:Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。
五、禁止关机事件跟踪
运行中输入命令gpedit.msc打开组策略。在出现的窗口的左边部分,选择 计算机配置->管理模板-> 系统,在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”,点击然后确定就OK了。
六、密码
说到这个问题有点弱了,虽然一个16位的密码如果暴力破解的话需要一周,但有些人会根据对方的生日、电话号码等等做出比较优秀的字典来破解。另外提醒大家一点,不要在QQ上乱接受对方传来的文件,包括图片,音乐,压缩包等等。如果加了壳的木马捆绑在这些文件上防火墙是很难查出来的(需要破壳什么的,这个不比乃脱PLMM的衣服简单。)我见过的最小的邮件TXT炸弹只有不到10K,这么小的东西捆绑在图片文件上也发觉不了。最后预祝大家有一个安全的网络环境。
首先,说一点关于第三方软件的东西。(我对3721、雅虎助手恨之入骨。尽管雅虎不知道怎么买通了公安部门说这不是垃圾软件。)系统运行速度变慢。很多朋友就认为是中了病毒或者木马,其实并不是这样的。第三方软件会占用很大甚至全部的系统资源(如sploosv远程打印机的问题。还有更可恨的stdup)。所以建议大家下载360安全卫士先把自己电脑里的第三方软件和那些不需要的自启动程序清除(建议上奇虎官方网站www.360safe.com上或者www.xdowns.com绿盟上下载。因为上面的软件一般很少捆绑插件。)超级兔子虽然也有相似的功能,但超级兔子还是带了个超级兔子上网精灵这么个第三方软件。所以不推荐。
然后,关于防火墙杀毒软件的选择。第一,我不推荐瑞星。瑞星的防毒杀毒能力都不强,很多北斗加壳的木马都不能查出来(什么是壳?形象简单的说就是给木马穿了马甲让乃认不出来。)防火墙我推荐avast,是一款捷克出品的防火墙,在免费的当中算是很出色的了。有14个月的免费使用期。(同样建议在绿盟下载,提示,不是做广告,我和绿盟没有任何商业关系。)至于杀毒,卡巴斯基还凑合。诺顿也不错。
好,现在开始进入正题。
一、删除共享
运行cmd,在下面键入命令net share可以看到你的电脑上存在的共享,然后用net share 共享名称 \delete命令删除共享(注意命令中有3个空格)
二、删除ipc$空连接
打开注册表(什么,乃不知道什么是注册表),HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\Lsa 项里数值名称“restrict anonymous”的数值数据由0改为1。
三、关闭139、445、和3389端口
139端口是一种TCP端口,该端口用于网上邻居访问局域网中的共享文件或共享打印机。445端口也是一种TCP端口,和139的作用差不多。3389是远程桌面控制协助端口。
关闭139端口的方法是在网络属性->Internet协议(TCP/IP)属性->高级对话框中的WINS选项页中将最下面的3选1选项卡从默认的“启用 TCP/IP 上的NetBIOS”改为“禁用 TCP/IP 上的NetBIOS”。
关闭445端口的方法是打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中新建Dword值“SMBDeviceEnabled”将其值设置为0。
关闭3389端口的方法是用鼠标右键单击桌面上的“我的电脑”图标,从弹出的快捷菜单中选中“属性”选项,在随后打开的属性设置界面中,单击“远程”标签,并在对应的标签页面中,取消“允许用户远程连接到这台计算机”和“允许从这台计算机发送远程协助邀请”这两个选项,最后单击一下“确定”按钮,就能达到屏蔽3389端口的目的了。
当然,如果你对上网需要的端口有一定的了解,可以直接利用TCP/IP筛选工具筛选有用的端口。打开本地连接->属性->TCP/IP协议->属性->高级->选项->TCP/IP筛选->属性里就可以筛选网络端口。
四、禁用服务
打开控制面板->管理工具->服务中禁止下列服务。
1.NetMeeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。如果服务停止,Alerter消息不会被传输)。这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能,可以禁止它。
5.Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
6.Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。如果不经常使用,可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
7.Telnet:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet客户,包括基于 UNIX 和 Windows 的计算机。又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
8.Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它。
9.Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
可以禁止的服务
以上十项服务是对安全威胁较大的服务,普通用户一定要禁用它。另外还有一些普通用户可以按需求禁止的服务:
1.Alerter:通知所选用户和计算机有关系统管理级警报。如果你未连上局域网且不需要管理警报,则可将其禁止。
2.Indexing Service:本地和远程计算机上文件的索引内容和属性,提供文件快速访问。这项服务对个人用户没有多大用处。
3.Application Layer Gateway Service:为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。如果你没有启用Internet连接共享或Windows XP的内置防火墙,可以禁止该服务。
4.Uninterruptible Power Supply:管理连接到计算机的不间断电源,没有安装UPS的用户可以禁用。
5.Print Spooler:将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。
6.Smart Card:管理计算机对智能卡的读取访问。基本上用不上,可以禁用。
7.Ssdp Discovery Service:启动家庭网络上的upnp设备自动发现。具有upnp的设备还不多,对于我们来说这个服务是没有用的。
8.Automatic Updates:自动从Windows Update网络更新补丁。利用Windows Update功能进行升级,速度太慢,建议大家通过多线程下载工具下载补丁到本地硬盘后,再进行升级。
9.Clipbook:启用“剪贴板查看器”储存信息并与远程计算机共享。如果不想与远程计算机进行信息共享,就可以禁止。
10.Imapi Cd-burning Com Service:用Imapi管理CD录制,虽然Win XP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。
11.Workstation:创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接都将不可用。
12.Error Reporting Service:服务和应用程序在非标准环境下运行时,允许错误报告。如果你不是专业人员,这个错误报告对你来说根本没用。
再就是如下几种服务对普通用户而言也没有什么作用,大家可以自己决定取舍,如:Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。
五、禁止关机事件跟踪
运行中输入命令gpedit.msc打开组策略。在出现的窗口的左边部分,选择 计算机配置->管理模板-> 系统,在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”,点击然后确定就OK了。
六、密码
说到这个问题有点弱了,虽然一个16位的密码如果暴力破解的话需要一周,但有些人会根据对方的生日、电话号码等等做出比较优秀的字典来破解。另外提醒大家一点,不要在QQ上乱接受对方传来的文件,包括图片,音乐,压缩包等等。如果加了壳的木马捆绑在这些文件上防火墙是很难查出来的(需要破壳什么的,这个不比乃脱PLMM的衣服简单。)我见过的最小的邮件TXT炸弹只有不到10K,这么小的东西捆绑在图片文件上也发觉不了。最后预祝大家有一个安全的网络环境。
常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的怠?
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的怠?
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
病毒防治:灰鸽子变种程远控制用户机
[ 2007-03-25 03:47:33 | 作者: sun ]
该病毒是灰鸽子变种,属后门类。病毒运行后,释放病毒文件%WINDIR%\wincup.exe,属性为隐藏且只读,修改注册表,新建服务,利用服务自启动,以达到随机启动的目的。在任务管理器中病毒进程名为IEXPLORE.EXE,且用户名为SYSTEM,用以迷惑用户。该病毒可远程控制用户机器,进行复制、删除、上传等操作,从而盗取用户的敏感信息。
建议清除方案:
1、使用安天木马防线可彻底清除此病毒
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\wincup.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "ConfigFlags "=" 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
键值: 字串: "*NewlyCreated*"="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
键值: 字串: "ActiveService "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "DeviceDesc "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Legacy "=-"0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Service "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\
键值: 字串: "NextInstance "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\
键值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\ {9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "Description "="WIN能让你的电脑正常运行这很重要"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "DisplayName "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum
键值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum\
键值: 字串: "Count "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum\
键值: 字串: "NextInstance "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ErrorControl "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "Start"="2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: " Type "="272"
建议清除方案:
1、使用安天木马防线可彻底清除此病毒
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\wincup.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "ConfigFlags "=" 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
键值: 字串: "*NewlyCreated*"="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
键值: 字串: "ActiveService "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "DeviceDesc "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Legacy "=-"0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\
键值: 字串: "Service "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\
键值: 字串: "NextInstance "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\
键值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\ {9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "Description "="WIN能让你的电脑正常运行这很重要"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "DisplayName "="WIN服务"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum
键值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum\
键值: 字串: "Count "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\Enum\
键值: 字串: "NextInstance "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ErrorControl "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: "Start"="2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服务\
键值: 字串: " Type "="272"
推荐:全方位堵住Windows 2003的安全隐患
[ 2007-03-25 03:47:20 | 作者: sun ]
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,
3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,
3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
捍卫无线区域网络的安全
[ 2007-03-25 03:47:06 | 作者: sun ]
相对于有线网络的局限性,无线网络增加了机动性和生产力。这正是世界各都市无线区域网络爆炸性成长的原因。根据资讯安全公司RSA Security的调查,2005无线网络连接点(wireless access point)的数量,伦敦攀升了57%,纽约增加20%,巴黎则在2年内惊人地成长了119%。
尽管企业使用无线科技的消息令人鼓舞,它也出现了安全上的问题。当无线区域网络的用量增加时,黑客入侵企业网络的机会也相对增加。然而好消息是,当无线区域网络业成长时,企业对网络安全议题也较往常重视,至少在基本安全方面。
很多伦敦、纽约和巴黎的使用无线科技的企业,今年第一季度借启动无线区域网络硬件提供的“有线等效加密”(WEP)的能力来防卫他们的无线网络有了大幅度增长。RSA Security的国际行销地区副总裁提姆.皮卡德(Tim Pickard)评论道,今年是他们第五个年度进行这方面的调查,也是第一次看到在无线网络的安全保护方面有如此惊人的提高。其中伦敦使用“有线等效加密”(WEP)保护其无线网络安全从2005年的65%上升到74%;纽约从2005年的62%上升到75%;巴黎–从2005年的9%窜升到78%。
尽管如此,然而仍有许多改善的空间。在这三大都市中,仍有近四分之一的企业未采取任何措施来保护他们的网络免受恶意的攻击。这些公司除了可能被窃取机密资料,有感染病毒和木马程序(Trojans)之虞,也会增加潜藏的风险:这些病毒通过他们的网络发动广泛地攻击。
巴黎、伦敦和纽约有近1/4的联接点仍然没有设定“有线等效加密”为预设值,而提供的只是基本安全。面对越来越多的病毒、黑客、木马程序、间谍软件、网络钓鱼等安全威胁,有些大企业和线上金融机构采用“双因素认证解决方案”。这个方案是由全球网络安全解决方案的领先供应商RSASecurity和 DynamiCode携手推出。它的特点是将传统的静态口令变为动态口令;DynamiCode把RSA Security的双因素认证技术集成到一个“认证令牌”上,该令牌非常小巧,可以串在钥匙扣上,放在口袋中,便于携带;每60秒就能产生一个新的和独特的口令。用户只需要简单地键入个人用户身份证号码(ID或PIN),以及令牌产生的代码,就可以完成认证而进入系统。
这种“双因素认证解决方案”的好处是,无论多么高明的黑客都无法在短时间内猜出如此复杂的动态口令。此外,DynamiCode提供了包括硬件、软件和实施服务的一站式解决方案,企业避免了构建基础架构的前置成本,无须负担额外的人力资源、硬件或软件,减少了部署时间、部署和管理成本。对操作者而言,它相当简单易用的。
除了企业无线区域网络,公众无线上网据点也持续上升;值得注意的是有一些是“伪装”的“公众无线上网据点”是为了窃取用户的资料:一种短暂性的无线网络的桥接器,设计看起来像真实的桥接器以便于窃取用户的机密资料。
提供安全谘询服务的英国凯捷管理顾问公司(Capgemini UK)的菲尔.克拉克内尔(Phil Cracknell)表示:“无线网络安全漏洞中,“伪装”的公众无线上网据点现已形成最严重和最可能的界面,使攻击者几乎在很短的时间内即可截获一批有价值的资料。”
尽管无线网络能引导产生更高的产值,然而企业必须懂得采取适当的预防措施,确保网络的安全性,以防外来者入侵破坏。最好能使用高阶的网络安全解决方案,否则,最起码要启动无线设定中的“有线等效加密”功能,比起毫无安全防卫措施,它至少是一种基本方法。
尽管企业使用无线科技的消息令人鼓舞,它也出现了安全上的问题。当无线区域网络的用量增加时,黑客入侵企业网络的机会也相对增加。然而好消息是,当无线区域网络业成长时,企业对网络安全议题也较往常重视,至少在基本安全方面。
很多伦敦、纽约和巴黎的使用无线科技的企业,今年第一季度借启动无线区域网络硬件提供的“有线等效加密”(WEP)的能力来防卫他们的无线网络有了大幅度增长。RSA Security的国际行销地区副总裁提姆.皮卡德(Tim Pickard)评论道,今年是他们第五个年度进行这方面的调查,也是第一次看到在无线网络的安全保护方面有如此惊人的提高。其中伦敦使用“有线等效加密”(WEP)保护其无线网络安全从2005年的65%上升到74%;纽约从2005年的62%上升到75%;巴黎–从2005年的9%窜升到78%。
尽管如此,然而仍有许多改善的空间。在这三大都市中,仍有近四分之一的企业未采取任何措施来保护他们的网络免受恶意的攻击。这些公司除了可能被窃取机密资料,有感染病毒和木马程序(Trojans)之虞,也会增加潜藏的风险:这些病毒通过他们的网络发动广泛地攻击。
巴黎、伦敦和纽约有近1/4的联接点仍然没有设定“有线等效加密”为预设值,而提供的只是基本安全。面对越来越多的病毒、黑客、木马程序、间谍软件、网络钓鱼等安全威胁,有些大企业和线上金融机构采用“双因素认证解决方案”。这个方案是由全球网络安全解决方案的领先供应商RSASecurity和 DynamiCode携手推出。它的特点是将传统的静态口令变为动态口令;DynamiCode把RSA Security的双因素认证技术集成到一个“认证令牌”上,该令牌非常小巧,可以串在钥匙扣上,放在口袋中,便于携带;每60秒就能产生一个新的和独特的口令。用户只需要简单地键入个人用户身份证号码(ID或PIN),以及令牌产生的代码,就可以完成认证而进入系统。
这种“双因素认证解决方案”的好处是,无论多么高明的黑客都无法在短时间内猜出如此复杂的动态口令。此外,DynamiCode提供了包括硬件、软件和实施服务的一站式解决方案,企业避免了构建基础架构的前置成本,无须负担额外的人力资源、硬件或软件,减少了部署时间、部署和管理成本。对操作者而言,它相当简单易用的。
除了企业无线区域网络,公众无线上网据点也持续上升;值得注意的是有一些是“伪装”的“公众无线上网据点”是为了窃取用户的资料:一种短暂性的无线网络的桥接器,设计看起来像真实的桥接器以便于窃取用户的机密资料。
提供安全谘询服务的英国凯捷管理顾问公司(Capgemini UK)的菲尔.克拉克内尔(Phil Cracknell)表示:“无线网络安全漏洞中,“伪装”的公众无线上网据点现已形成最严重和最可能的界面,使攻击者几乎在很短的时间内即可截获一批有价值的资料。”
尽管无线网络能引导产生更高的产值,然而企业必须懂得采取适当的预防措施,确保网络的安全性,以防外来者入侵破坏。最好能使用高阶的网络安全解决方案,否则,最起码要启动无线设定中的“有线等效加密”功能,比起毫无安全防卫措施,它至少是一种基本方法。
严防死守 用注册表为操作系统砌九堵安全墙
[ 2007-03-25 03:46:56 | 作者: sun ]
众所周知,操作系统的注册表是一个藏龙卧虎的地方,所有系统设置都可以在注册表中找到踪影,所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。
然而,正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。
特别提示:在进行修改之前,一定要备份原有注册表。
1.拒绝“信”骚扰
安全隐患:在Windows 2000/XP系统中,默认Messenger服务处于启动状态,不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。
解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。
2.关闭“远程注册表服务”
安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(Remote Registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。
解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。
找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项,右键点击该项选择“删除”(图1),将该项删除后就无法启动该服务了。
在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。
3.请走“默认共享”
安全隐患:大家都知道在Windows 2000/XP/2003中,系统默认开启了一些“共享”,它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。
解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous项设置为“1”,这样就可以禁止IPC$的连接。
对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项。如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
4.严禁系统隐私泄露
安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
解决方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击“Documents and Settings→ALL Users→Documents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。
提示:如果已经禁止了DR.WATSON程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。
5.拒绝ActiveX控件的恶意骚扰
安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX控件私自运行程序。
解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样ActiveX控件就不能调用Windows scripting host了。然后,在注册表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。
6.防止页面文件泄密
安全隐患:Windows 2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。
解决方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management”,将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。
这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。
7.密码填写不能自动化
安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。
解决方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。
8.禁止病毒启动服务
安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?
解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按钮,将Everyone账号导入进来,然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。
9.不准病毒自行启动
安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。
解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支,将Everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。
病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。
然而,正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。
特别提示:在进行修改之前,一定要备份原有注册表。
1.拒绝“信”骚扰
安全隐患:在Windows 2000/XP系统中,默认Messenger服务处于启动状态,不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。
解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。
2.关闭“远程注册表服务”
安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(Remote Registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。
解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。
找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项,右键点击该项选择“删除”(图1),将该项删除后就无法启动该服务了。
在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。
3.请走“默认共享”
安全隐患:大家都知道在Windows 2000/XP/2003中,系统默认开启了一些“共享”,它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。
解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous项设置为“1”,这样就可以禁止IPC$的连接。
对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项。如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
4.严禁系统隐私泄露
安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
解决方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击“Documents and Settings→ALL Users→Documents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。
提示:如果已经禁止了DR.WATSON程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。
5.拒绝ActiveX控件的恶意骚扰
安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX控件私自运行程序。
解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样ActiveX控件就不能调用Windows scripting host了。然后,在注册表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。
6.防止页面文件泄密
安全隐患:Windows 2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。
解决方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management”,将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。
这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。
7.密码填写不能自动化
安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。
解决方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。
8.禁止病毒启动服务
安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?
解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按钮,将Everyone账号导入进来,然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。
9.不准病毒自行启动
安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。
解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支,将Everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。
病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。
推荐:了解进程和病毒十七点相关知识
[ 2007-03-25 03:46:42 | 作者: sun ]
第一:进程是什么
进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
第二:什么是木马
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
第三:什么是计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
第四:什么是蠕虫病毒
蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
第五:什么是广告软件Adware
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2、有些广告软件通过恶意网站安装,所以,不要浏览不良网站。
3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
第六:什么是间谍软件Spyware
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2、有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
第七:Dll文件是什么
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目录下。
1、如何了解某应用程序使用哪些DLL文件
右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
2、如何知道DLL文件被几个程序使用
运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-ersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
3、如何解决DLL文件丢失的情况
有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
rundll的功能是以命令列的方式呼叫Windows的动态链结库。
Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
如果用的是Win98,rundll32.exe一般存在于Windows目录下;
如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。
若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。
第八:什么是系统进程
进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操 作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。
那进程与线程的区别到底是什么?进程是执行程序的实例。例如,当你运行记事本程序(Nodepad)时,你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此,如果你同时运行记事本的两个拷贝,该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去,并且可能将沙子攘到别的孩子眼中,他们会互相踢打或撕咬。但是,这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来,无论箱中的孩子如何狠命地攘沙,他们也不会影响到其它沙箱中的其他孩子。因此,每个进程就象一个被保护起来的沙箱。未经许可,无人可以进出。
实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
这里的进程是指一系列进程,这些进程是由它们所运行的可执行程序实例来识别的,这就是进程选项卡中的第一列给出了映射名称的原因。请注意,这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之,如果你运行5个记事本拷贝,你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID,因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成,并可以循环使用。因此,进程ID将不会越编越大,它们能够得到循环利用。
第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号,而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间,但该系统空闲进程仍旧耗用了大约99%的CPU时间。
第四列,CPU时间,是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意,我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和,因为,如我们一会儿将看到的,NT计时的方式是,当特定的时钟间隔激发时,无论谁恰巧处于当前的线程中,它都将计算到CPU周期之内。通常情况下,在大多数NT系统中,时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此,如果一个线程开始运行,并在持续运行8毫秒后完成,接着,第二个线程开始运行并持续了2毫秒,这时,时钟激发,请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此,NT中存在一些固有的不准确性,而NT恰是以这种方式进行计时,实际情况也如是,大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点,因为,有时当你观察线程所耗用的CPU总和时,会出现尽管该线程或许看上去已运行过数十万次,但其CPU时间占用量却可能是零或非常短暂的现象,那么,上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。
第九:什么是应用程序
应用程序指的是程序开发人员要开发的一个数据库应用管理系统,它可以是一个单位的财务管理系统、人事管理系统等。(各种有关功能的窗口的集合构成一个完整的应用系统,分发给各个终端用户的就是一个应用程序。
第十:如何察看正在运行的进程
察看正在运行的进程的方法有很多,最简单就是使用Windows自带的进程管理器察看正在运行的进程:同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签,即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器。
第十一:如何强制结束一个运行中的进程
1、打开“终端服务管理器(任务管理器)”。
2、在“进程”选项卡上的“用户”列下,右键单击要结束的进程,然后单击“结束进程”。
注意:
(1)必须具有完全控制权限才能结束进程。
(2)要打开“终端服务管理器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“终端服务管理器”。
(3)请注意:在没有警告的情况下结束进程会导致用户会话中的数据丢失。
(4)可能需要结束进程,因为应用程序没有响应
(5)也可以使用 tskill 命令结束进程。
强制结束进程的命令行
Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入:
ntsd -c q -p PID
把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上“PID(进程标识符)”,然后就能看见了。
XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!
结束进程的一些巧用小窍门
误删VCD文件的另类恢复
现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢?那么怎样才能在不用恢复软件的情况下手动恢复它们呢?
笔者找到了一个另类的恢复方法,并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹,文件名一般为Avseq0?.dat或Music0?.dat,其中“?”代表数字(1~9)。有的VCD序幕和正式内容是一个文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式内容分别为两个文件,即序幕为Avseq01.dat或Music01.dat,而正式内容为Avseq02.dat或Music02.dat。
首先,找一个和误删文件同名的文件(暂且称为A),接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时,按下Ctrl+Alt+Del结束“正在复制...”任务,如果“正在复制...”窗口不消失,就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单,到原误删文件存储的地方看一下,是不是又失而复得了?用多媒体播放软件打开,只是开头几秒种是文件A的内容,后面的照看不误。
保存拷了一部分的文件
如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘,那么可能会遇到复制到只剩下一点点时,Windows提示“复制文件出错”,这时只要按回车键或点击“确定”按钮,那么辛辛苦苦复制的文件就会丢失。
其实只要马上激活“任务管理器”,把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了,当然这还是有缺点的,当此类文件播放到断点的地方时就会停止。
巧玩游戏
本人用的是Windows XP家庭版,运行一些支持Windows 2000但不支持Windows XP的游戏时,鼠标、键盘失去反应。某日发现一解法:打开“任务管理器”,结束EXPLORER.EXE进程,点“新任务”,找到游戏运行文件,运行即可。另外,结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。
第十二:一些常见的进程
进程名描述
smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
explorer.exe资源管理器
internat.exe托盘区的拼音图标
mstask.exe允许程序在指定时间运行.
regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源
管理器。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以
节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
第十三:什么是网络钓鱼
什么是网络钓鱼?
网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
如何防备网络钓鱼?
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
第十四:什么是浏览器劫持
浏览器劫持是一种恶意程序,通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改,使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止,被劫持之后应采取什么措施?
浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施:
不要轻易浏览不良网站。
不要轻易安装共享软件、盗版软件。
建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的安全设置进行相应调整。
如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。
第十五:什么是恶意共享软件
恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时,应注意以下方面: 注意仔 细阅读软件提供的“安装协议”,不要随便点“next”进行安装。
不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来安全风险。
使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。
第十六:如何更好地预防计算机病毒入侵
有病治病,无病预防这是人们对健康生活的最基本也是最重要的要求,预防比治疗更为重要。对计算机来说,同样也是如此,了解病毒,针对病毒养成一个良好的计算机应用管理习惯,对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰,建议大家平时能做到“三打三防”。
“三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
“三防” 就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
第十七:如何干净地清除病毒
1、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒,这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法,针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。
在安全模式(Safe Mode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模示下清除。DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了!
2、带毒文件在\Temporary Internet Files目录下
由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的“工具\Internet 选项”,选择 "删除文件”删除即可,如果有提示“删除所有脱机内容”,也请选上一并删除。
3、带毒文件在 \_Restore 目录下,*.cpy 文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP 操作系统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消“系统还原”功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
4、带毒文件在.rar、.zip、.cab 等压缩文件中
对于绝大多数的反病毒软件来说,现在的查杀压缩文件中病毒的功能已经基本完善了,单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
5、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀。
如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows 、Linux 等。 如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME 系统上通过“添加/删除程序”进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
针对 NT 构架的操作系统可首先安装“管理员控制台”,安装后使用管理员控制台,然后分别执行 fixmbr(恢复主引导记录)和 fixboot(恢复启动盘上的引导区)命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
6、带毒文件在一些邮件文件中,如dbx、eml、box 等
绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒,对于邮箱中的带毒的信件,可以根据用户的设置杀毒或删除带毒邮件,但是由于此类邮箱的复合文件结构,易出现杀毒后的邮箱依旧可以检测到病毒情况,这是由于没有压缩邮箱进行空间释放的原因导致的,您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”
7、文件中有病毒的残留代码
这种情况比较多见的就是带有 CIH、Funlove、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app 等结尾,而且并不常见,如 W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误
这种情况出现的并不多,通常是由于某些病毒对系统中的关键文件修改后造成的,异常的文件无法正常使用,同时易造成别的系统错误,针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10 、共享目录杀毒
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。
遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是因为光盘上的文件都是只读的原因导致的。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。
进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
第二:什么是木马
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
第三:什么是计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
第四:什么是蠕虫病毒
蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
第五:什么是广告软件Adware
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2、有些广告软件通过恶意网站安装,所以,不要浏览不良网站。
3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
第六:什么是间谍软件Spyware
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
1、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2、有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
3、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
第七:Dll文件是什么
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目录下。
1、如何了解某应用程序使用哪些DLL文件
右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
2、如何知道DLL文件被几个程序使用
运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-ersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
3、如何解决DLL文件丢失的情况
有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
rundll的功能是以命令列的方式呼叫Windows的动态链结库。
Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
如果用的是Win98,rundll32.exe一般存在于Windows目录下;
如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。
若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。
第八:什么是系统进程
进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操 作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。
那进程与线程的区别到底是什么?进程是执行程序的实例。例如,当你运行记事本程序(Nodepad)时,你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此,如果你同时运行记事本的两个拷贝,该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去,并且可能将沙子攘到别的孩子眼中,他们会互相踢打或撕咬。但是,这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来,无论箱中的孩子如何狠命地攘沙,他们也不会影响到其它沙箱中的其他孩子。因此,每个进程就象一个被保护起来的沙箱。未经许可,无人可以进出。
实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
这里的进程是指一系列进程,这些进程是由它们所运行的可执行程序实例来识别的,这就是进程选项卡中的第一列给出了映射名称的原因。请注意,这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之,如果你运行5个记事本拷贝,你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID,因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成,并可以循环使用。因此,进程ID将不会越编越大,它们能够得到循环利用。
第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号,而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间,但该系统空闲进程仍旧耗用了大约99%的CPU时间。
第四列,CPU时间,是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意,我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和,因为,如我们一会儿将看到的,NT计时的方式是,当特定的时钟间隔激发时,无论谁恰巧处于当前的线程中,它都将计算到CPU周期之内。通常情况下,在大多数NT系统中,时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此,如果一个线程开始运行,并在持续运行8毫秒后完成,接着,第二个线程开始运行并持续了2毫秒,这时,时钟激发,请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此,NT中存在一些固有的不准确性,而NT恰是以这种方式进行计时,实际情况也如是,大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点,因为,有时当你观察线程所耗用的CPU总和时,会出现尽管该线程或许看上去已运行过数十万次,但其CPU时间占用量却可能是零或非常短暂的现象,那么,上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。
第九:什么是应用程序
应用程序指的是程序开发人员要开发的一个数据库应用管理系统,它可以是一个单位的财务管理系统、人事管理系统等。(各种有关功能的窗口的集合构成一个完整的应用系统,分发给各个终端用户的就是一个应用程序。
第十:如何察看正在运行的进程
察看正在运行的进程的方法有很多,最简单就是使用Windows自带的进程管理器察看正在运行的进程:同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签,即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器。
第十一:如何强制结束一个运行中的进程
1、打开“终端服务管理器(任务管理器)”。
2、在“进程”选项卡上的“用户”列下,右键单击要结束的进程,然后单击“结束进程”。
注意:
(1)必须具有完全控制权限才能结束进程。
(2)要打开“终端服务管理器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“终端服务管理器”。
(3)请注意:在没有警告的情况下结束进程会导致用户会话中的数据丢失。
(4)可能需要结束进程,因为应用程序没有响应
(5)也可以使用 tskill 命令结束进程。
强制结束进程的命令行
Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入:
ntsd -c q -p PID
把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上“PID(进程标识符)”,然后就能看见了。
XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!
结束进程的一些巧用小窍门
误删VCD文件的另类恢复
现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢?那么怎样才能在不用恢复软件的情况下手动恢复它们呢?
笔者找到了一个另类的恢复方法,并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹,文件名一般为Avseq0?.dat或Music0?.dat,其中“?”代表数字(1~9)。有的VCD序幕和正式内容是一个文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式内容分别为两个文件,即序幕为Avseq01.dat或Music01.dat,而正式内容为Avseq02.dat或Music02.dat。
首先,找一个和误删文件同名的文件(暂且称为A),接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时,按下Ctrl+Alt+Del结束“正在复制...”任务,如果“正在复制...”窗口不消失,就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单,到原误删文件存储的地方看一下,是不是又失而复得了?用多媒体播放软件打开,只是开头几秒种是文件A的内容,后面的照看不误。
保存拷了一部分的文件
如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘,那么可能会遇到复制到只剩下一点点时,Windows提示“复制文件出错”,这时只要按回车键或点击“确定”按钮,那么辛辛苦苦复制的文件就会丢失。
其实只要马上激活“任务管理器”,把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了,当然这还是有缺点的,当此类文件播放到断点的地方时就会停止。
巧玩游戏
本人用的是Windows XP家庭版,运行一些支持Windows 2000但不支持Windows XP的游戏时,鼠标、键盘失去反应。某日发现一解法:打开“任务管理器”,结束EXPLORER.EXE进程,点“新任务”,找到游戏运行文件,运行即可。另外,结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。
第十二:一些常见的进程
进程名描述
smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
explorer.exe资源管理器
internat.exe托盘区的拼音图标
mstask.exe允许程序在指定时间运行.
regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源
管理器。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以
节省磁盘空间(只对 NTFS 文件系统有用)。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
第十三:什么是网络钓鱼
什么是网络钓鱼?
网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
如何防备网络钓鱼?
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
第十四:什么是浏览器劫持
浏览器劫持是一种恶意程序,通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改,使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止,被劫持之后应采取什么措施?
浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施:
不要轻易浏览不良网站。
不要轻易安装共享软件、盗版软件。
建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的安全设置进行相应调整。
如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。
第十五:什么是恶意共享软件
恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时,应注意以下方面: 注意仔 细阅读软件提供的“安装协议”,不要随便点“next”进行安装。
不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来安全风险。
使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。
第十六:如何更好地预防计算机病毒入侵
有病治病,无病预防这是人们对健康生活的最基本也是最重要的要求,预防比治疗更为重要。对计算机来说,同样也是如此,了解病毒,针对病毒养成一个良好的计算机应用管理习惯,对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰,建议大家平时能做到“三打三防”。
“三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
“三防” 就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
第十七:如何干净地清除病毒
1、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒,这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法,针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。
在安全模式(Safe Mode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模示下清除。DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了!
2、带毒文件在\Temporary Internet Files目录下
由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的“工具\Internet 选项”,选择 "删除文件”删除即可,如果有提示“删除所有脱机内容”,也请选上一并删除。
3、带毒文件在 \_Restore 目录下,*.cpy 文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP 操作系统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消“系统还原”功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
4、带毒文件在.rar、.zip、.cab 等压缩文件中
对于绝大多数的反病毒软件来说,现在的查杀压缩文件中病毒的功能已经基本完善了,单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
5、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀。
如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows 、Linux 等。 如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME 系统上通过“添加/删除程序”进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
针对 NT 构架的操作系统可首先安装“管理员控制台”,安装后使用管理员控制台,然后分别执行 fixmbr(恢复主引导记录)和 fixboot(恢复启动盘上的引导区)命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
6、带毒文件在一些邮件文件中,如dbx、eml、box 等
绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒,对于邮箱中的带毒的信件,可以根据用户的设置杀毒或删除带毒邮件,但是由于此类邮箱的复合文件结构,易出现杀毒后的邮箱依旧可以检测到病毒情况,这是由于没有压缩邮箱进行空间释放的原因导致的,您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”
7、文件中有病毒的残留代码
这种情况比较多见的就是带有 CIH、Funlove、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app 等结尾,而且并不常见,如 W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误
这种情况出现的并不多,通常是由于某些病毒对系统中的关键文件修改后造成的,异常的文件无法正常使用,同时易造成别的系统错误,针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10 、共享目录杀毒
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。
遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是因为光盘上的文件都是只读的原因导致的。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。
手工清理C:\windows\alg.exe病毒
[ 2007-03-25 03:46:21 | 作者: sun ]
这是一个病毒样本eraseme_88446.exe(样本来自“剑盟”)释放到系统中的。瑞星今天的病毒库不报。
C:\windows\alg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。
特点:
1、C:\windows\alg.exe注册为系统服务,实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目录下。
手工杀毒流程:
1、清理注册表:
(1)展开:HKLM\System\CurrentControlSet\Services
删除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000
(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除:"SFCScan"=dword:00000000
(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。
C:\windows\alg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。
特点:
1、C:\windows\alg.exe注册为系统服务,实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目录下。
手工杀毒流程:
1、清理注册表:
(1)展开:HKLM\System\CurrentControlSet\Services
删除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000
(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除:"SFCScan"=dword:00000000
(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。
常见个人安全上网及中毒处理方法建议
[ 2007-03-25 03:46:08 | 作者: sun ]
1、上网冲浪前就要做好安全工作:
a、大部分会员使用WINDOWS视窗系统,都尽可能的打上最新系统和IE补丁(升级站点:http://www.windowsupdate.com);
b、装一款适合自己的杀毒软件和防火墙(WINDOWS XP 系统的可以使用系统自带防火墙),经常升级至最新病毒库,并打开所有监控;
2、网上冲浪的安全事项:
a、下载的文件先扫描查毒,确认安全后则可打开执行;
b、在浏览页面时出现病毒警报,即时杀毒后也最好马上全盘查一查。
c、可疑文件提交在线查毒推荐:
VirusTotal http://www.virustotal.com/flash/index_en.html
Jotti Online MalwareScan http://virusscan.jotti.org/
d、确认中毒后,先根据所报病毒名,到搜索站点查询相关病毒处理办法,自己学着处理。
e、搜索站点推荐:
google http://www.google.com
baidu http://www.baidu.com
f、建议根据网上相关处理办法,关闭浏览器,终止所有可终止的进程,全盘杀毒,争取时间在系统重启动前删除隐患。
3、断网后要不定时间的全盘查一查系统:
a、在线扫描本地系统的中文在线网站推荐:
国内外免费在线杀毒 http://hi.baidu.com/teyqiu/blog/item/6ac57d1e077734f41bd57610.html
4、对于自己不能处理的病毒问题,则可以到网上虚心寻求会员朋友帮助解决,记住那也是学习讨论交流过程,得益更多。
注意提供给会员朋友的相关信息如下:
a、中毒前后的情况说明(包括浏览或下载执行过什么程序,出现什么症状,杀毒软件已报的病毒信息,根据哪个站点已做过哪些处理)
b、提供相关扫描日志,所用扫描日志修复工具推荐:
工具:SRENG http://bbs.360safe.com/viewthread.php?tid=55006&extra=page%3D1
c、常用小型工具推荐:——部分引用了卡卡社区的说明:-)
1>冰刃 Icesword v1.12(新手慎用)
Icesword v1.12这是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统, 其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。
注意事项:此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
下载地址:http://aqfrs.ys168.com
作者主页:http://www.blogcn.com/user17/pjf/index.html
说明文本在程序中。
2>killbox v2.0.0.175
国外反病毒论坛很受欢迎的工具软件,实质是一个删除任意文件的利器
它不管这个文件是EXE还是DLL等其它文件,也不管这个文件是正在运行中,还是被系统调用了,KillBox 都可以简单几步就将文件删除。
下载地址:http://wx.onlinedown.net/soft/37257.htm
3> Procexp和Autoruns
高级进程管理器和系统启动项查看工具,下载页面都有说明及贴图
下载地址:http://www.sysinternals.com/Files/ProcessExplorerNt.zip
http://www.sysinternals.com/Files/Autoruns.zip
<4>WinsockXPFix
一个小巧的winsock和tcp/ip修复工具。
hijackthis在修复010项时有可能会破坏winsock2的SPI,引起WinXP的Winsock故障,导致所有网络应用中断。可以通过这个工具来修复。
下载地址:http://www.wedoc.com/software/WinsockXPFix.exe
http://www.snapfiles.com/get/winsockxpfix.html
Winsock repair utility designed for Windows 98, 98SE, and ME.
Winsock repair utility designed for Windows XP.
Winsock repair utility for Windows 95/98/98SE/ME.
a、大部分会员使用WINDOWS视窗系统,都尽可能的打上最新系统和IE补丁(升级站点:http://www.windowsupdate.com);
b、装一款适合自己的杀毒软件和防火墙(WINDOWS XP 系统的可以使用系统自带防火墙),经常升级至最新病毒库,并打开所有监控;
2、网上冲浪的安全事项:
a、下载的文件先扫描查毒,确认安全后则可打开执行;
b、在浏览页面时出现病毒警报,即时杀毒后也最好马上全盘查一查。
c、可疑文件提交在线查毒推荐:
VirusTotal http://www.virustotal.com/flash/index_en.html
Jotti Online MalwareScan http://virusscan.jotti.org/
d、确认中毒后,先根据所报病毒名,到搜索站点查询相关病毒处理办法,自己学着处理。
e、搜索站点推荐:
google http://www.google.com
baidu http://www.baidu.com
f、建议根据网上相关处理办法,关闭浏览器,终止所有可终止的进程,全盘杀毒,争取时间在系统重启动前删除隐患。
3、断网后要不定时间的全盘查一查系统:
a、在线扫描本地系统的中文在线网站推荐:
国内外免费在线杀毒 http://hi.baidu.com/teyqiu/blog/item/6ac57d1e077734f41bd57610.html
4、对于自己不能处理的病毒问题,则可以到网上虚心寻求会员朋友帮助解决,记住那也是学习讨论交流过程,得益更多。
注意提供给会员朋友的相关信息如下:
a、中毒前后的情况说明(包括浏览或下载执行过什么程序,出现什么症状,杀毒软件已报的病毒信息,根据哪个站点已做过哪些处理)
b、提供相关扫描日志,所用扫描日志修复工具推荐:
工具:SRENG http://bbs.360safe.com/viewthread.php?tid=55006&extra=page%3D1
c、常用小型工具推荐:——部分引用了卡卡社区的说明:-)
1>冰刃 Icesword v1.12(新手慎用)
Icesword v1.12这是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统, 其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。
注意事项:此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。
下载地址:http://aqfrs.ys168.com
作者主页:http://www.blogcn.com/user17/pjf/index.html
说明文本在程序中。
2>killbox v2.0.0.175
国外反病毒论坛很受欢迎的工具软件,实质是一个删除任意文件的利器
它不管这个文件是EXE还是DLL等其它文件,也不管这个文件是正在运行中,还是被系统调用了,KillBox 都可以简单几步就将文件删除。
下载地址:http://wx.onlinedown.net/soft/37257.htm
3> Procexp和Autoruns
高级进程管理器和系统启动项查看工具,下载页面都有说明及贴图
下载地址:http://www.sysinternals.com/Files/ProcessExplorerNt.zip
http://www.sysinternals.com/Files/Autoruns.zip
<4>WinsockXPFix
一个小巧的winsock和tcp/ip修复工具。
hijackthis在修复010项时有可能会破坏winsock2的SPI,引起WinXP的Winsock故障,导致所有网络应用中断。可以通过这个工具来修复。
下载地址:http://www.wedoc.com/software/WinsockXPFix.exe
http://www.snapfiles.com/get/winsockxpfix.html
Winsock repair utility designed for Windows 98, 98SE, and ME.
Winsock repair utility designed for Windows XP.
Winsock repair utility for Windows 95/98/98SE/ME.
----入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击作出反应。
----入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
----漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
----一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全教育与培训、安全机构与程序和安全规则等内容,是一个复杂的系统工程。安全技术是其中一个重要的环节,入侵检测和漏洞检测系统是安全技术的核心。目前经常使用的安全技术有防火墙、防病毒软件、用户认证、加密、入侵检测和漏洞检测系统等。防火墙作为防护措施中的一层能够起到一定的作用,但事实证明它是不充分的,防火墙充当了外部网和内部网的一个屏障,但并不是所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就可以绕开防火墙,对系统的安全构成威胁。此外,安全威胁也可能来自内部,而防火墙本身也极容易被外部黑客攻破。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。
入侵检测
----1.常用的入侵检测技术
----入侵检测技术可分为五种:
----(1)基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。由于这种技术可以更准确地监控用户某一应用的行为,所以这种技术在日益流行的电子商务中也越来越受到注意,其缺点在于有可能降低技术本身的安全。
----(2)基于主机的监控技术主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交换的环境中监控,把特定的问题同特定的用户联系起来;其缺点在于主机传感器要和特定的平台相关联,对网络行为不易领会,同时加大了系统的负担。
----(3)基于目标的监控技术主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据,系统开销小,可以准确地确定受攻击的部位,受到攻击的系统容易恢复;其缺点在于实时性较差,对目标的检验数依赖较大。
----(4)基于网络的监控技术主要特征是网络监控传感器监控包监听器收集的信息。该技术不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其他数据源;其缺点在于如果数据流进行了加密,就不能审查其内容,对主机上执行的命令也感觉不到。此外,该技术对高速网络不是特别有效。
----(5)综合以上4种方法进行监控其特点是可提高侦测性能,但会产生非常复杂的网络安全方案,严重影响网络的效率,而且目前还没有一个统一的业界标准。
----2.入侵检测技术的选用
----在使用入侵检测技术时,应该注意具有以下技术特点的应用要根据具体情况进行选择:
----(1)信息收集分析时间:可分为固定时间间隔和实时收集分析两种。采用固定时间间隔方法,通过操作系统审计机制和其他基于主机的登录信息,入侵检测系统在固定间隔的时间段内收集和分析这些信息,这种技术适用于对安全性能要求较低的系统,对系统的开销影响较小;但这种技术的缺点是显而易见的,即在时间间隔内将失去对网络的保护。采用实时收集和分析技术可以实时地抑制攻击,使系统管理员及时了解并阻止攻击,系统管理员也可以记录黑客的信息;缺点是加大了系统开销。
----(2)采用的分析类型:可分为签名分析、统计分析和完整性分析。签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。在许多入侵检测系统中,都建有这种已知攻击的数据库。这种数据库可以经常更新,以对付新的威胁。签名分析的优点在于能够有针对性地收集系统数据,减少了系统的开销,如果数据库不是特别大,那么签名分析比统计分析更为有效,因为它不需要浮点运算。
----统计分析用来发现偏离正常模式的行为,通过分析正常应用的属性得到系统的统计特征,对每种正常模式计算出均值和偏差,当侦测到有的数值偏离正常值时,就发出报警信号。这种技术可以发现未知的攻击,使用灵活的统计方法还可以侦测到复杂的攻击。当然,如果高明的黑客逐渐改变入侵模式,那么还是可以逃避侦测的,而且统计传感器发出虚警的概率就会变大。
----完整性分析主要关注某些文件和对象的属性是否发生了变化。完整性分析通过被称为消息摘录算法的超强加密机制,可以感受到微小的变化。这种分析可以侦测到任何使文件发生变化的攻击,弥补了签名分析和统计分析的缺陷,但是这种分析的实时性很差。
----(3)侦测系统对攻击和误用的反应:有些基于网络的侦测系统可以针对侦测到的问题作出反应,这一特点使得网络管理员对付诸如拒绝服务一类的攻击变得非常容易。这些反应主要有改变环境、效用检验、实时通知等。当系统侦测到攻击时,一个典型的反应就是改变系统的环境,通常包括关闭联接,重新设置系统。由于改变了系统的环境,因此可以通过设置代理和审计机制获得更多的信息,从而能跟踪黑客。狡猾的黑客通常瞄准侦测传感器和分析引擎进行攻击,在这种情况下,就有必要对这些传感器和引擎进行效用评估,看它们能否正常工作。许多实时系统还允许管理员选择一种预警机制,把发生的问题实时地送往各个地方。
----(4)侦测系统的管理和安装:用户采用侦测系统时,需要根据本网的一些具体情况而定。实际上,没有两种完全相同的网络环境,因此,就必须对采用的系统进行配置。比如,可以配置系统的网络地址、安全条目等。某些基于主机的侦测系统还提供友好的用户界面,让用户说明要传感器采集哪些信息。一个好的侦测系统会为用户带来方便,让用户记录系统中发生的安全问题,在运行侦测系统的时候,还可以说明一些控制功能和效用检验机制。
----(5)侦测系统的完整性:所谓完整性就是系统自身的安全性,鉴于侦测系统的巨大作用,系统设计人员要对系统本身的自保性能有足够的重视,黑客在发动攻击之前首先要对安全机制有足够的了解后才会攻击,所以侦测系统完整性就成为必须解决的问题,经常采用的手段有认证、超强加密、数字签名等,确保合法使用,保证通信不受任何干扰。
----(6)设置诱骗服务器:有的侦测系统还在安全构架中提供了诱骗服务器,以便更准确地确定攻击的威胁程度。诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把这些信息送到一个安全的地方,供以后查用。这种技术是否采用可根据网络的自身情况而定。
漏洞检测
----1.分类
----漏洞检测技术可分为5种:
----(1)基于应用的检测技术它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
----(2)基于主机的检测技术它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统存在的问题,发现系统漏洞。它的缺点是与平台相关,升级复杂。
----(3)基于目标的检测技术它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。其基本原理是消息加密算法和哈希函数,如果函数的输入有一点变化,那么其输出就会发生大的变化,这样文件和数据流的细微变化都会被感知。这些算法加密强度极大,不易受到攻击,并且其实现是运行在一个闭环上,不断地处理文件和系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较,一旦发现改变就通知管理员。
----(4)基于网络的检测技术它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现平台的一系列漏洞,也容易安装。但是,它容易影响网络的性能,不会检验不到系统内部的漏洞。
----(5)综合的技术它集中了以上4种技术的优点,极大地增强了漏洞识别的精度。
----2.特点
----(1)检测分析的位置:在漏洞检测中,第一步是收集数据,第二步是数据分析。在大型网络中,通常采用控制台和代理结合的结构,这种结构特别适用于异构型网络,容易检测不同的平台。在不同威胁程度的环境下,可以有不同的检测标准。
----(2)报表与安装:漏洞检测系统生成的报表是理解系统安全状况的关键,它记录了系统的安全特征,针对发现的漏洞提出需要采取的措施。整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。安全漏洞数据库可以不断更新补充。
----(3)检测后的解决方案:一旦检测完毕,如果发现了漏洞,那么系统可有多种反应机制。预警机制可以让系统发送消息、电子邮件、传呼等来报告发现了漏洞。报表机制则生成综合的报表列出所有的漏洞。根据这些报告可以采用有针对性的补救措施。同侦测系统一样,漏洞检测有许多管理功能,通过一系列的报表可让系统管理员对这些结果做进一步的分析。
----(4)检测系统本身的完整性:同样,这里有许多设计、安装、维护检测系统要考虑的安全问题。安全数据库必须安全,否则就会成为黑客的工具,因此,加密就显得特别重要。由于新的攻击方法不断出现,所以要给用户提供一个更新系统的方法,更新的过程也必须给予加密,否则将产生新的危险。实际上,检测系统本身就是一种攻击,如果被黑客利用,那么就会产生难以预料的后果。因此,必须采用保密措施,使其不会被黑客利用。
实现模型
----入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵检测和漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个部分:安全服务器(Securityserver)和侦测代理(Agent)。
----如附图所示,侦测代理分布在整个网络中,大体上有三种:一是主机侦测代理,二是网络设备侦测代理,三是公用服务器侦测代理。
----主机代理中有主机侦测代理和主机漏洞检测代理两种类型,其中侦测代理动态地实现探测入侵信号,并作出相应的反应;漏洞检测代理检测系统的配置、日志等,把检测到的信息传给安全服务器和用户。
----在网段上有唯一的代理负责本网段的安全。该代理主要完成本网段的入侵检测。
----在防火墙的外部还需有专门的代理负责公用服务器的安全,这些代理也要有侦测代理和主机漏洞检测代理两种类型。在安全服务器上,有一个网络漏洞检测代理从远程对网络中的主机进行漏洞检测。
----入侵检测代理在结构上由传感器、分析器、通信管理器等部件组成。顾名思义,传感器就是安全信息感受器,它侦测诸如多次不合法的登录,对端口进行扫描等信息。传感器中有过滤正常和非正常信息的能力,它只接受有意义的安全信息。分析器首先接收来自传感器的信息,把这些信息同正常数据相比较,将结果送往通信管理器,并动态地作出一定的反应。通信管理器再把这些信息分类,送往安全服务器。
----漏洞检测代理在结构上由检测器、检测单元、通信管理器等部件组成。检测器是检测单元的管理器,它决定如何调度检测单元。检测单元是一系列的检测项,通常是一些脚本文件。通信管理器把检测的结果发给用户和安全服务器。
----每一个主机代理感受敏感的安全信息,对这些信息进行处理,作出反应,然后把一些信息交给网段代理和安全服务器处理。网段代理对本网段的安全负责,它一边监视本网段的情况,一边向安全服务器汇报。
----安全服务器中包含网络安全数据库、通信管理器、联机信息处理器等部件,它的主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,作出响应的反映,同时对本网的各安全参数进行审计和记录日志,为完善网络的安全性能提供参数。它还有一个重要的功能就是控制防火墙。从图中可以看出这些部件相互协作,为整个系统提供了一个分布式的、完整的解决方案。
结 论
----入侵检测和漏洞检测技术是计算机网络系统安全解决方案中非常重要的部分,它极大地提高了整个系统的安全性能。一个分布式的解决方案可以可靠地实现网络信息系统的安全。通过部署入侵检测和漏洞检测系统可以实现:支持内部审计、责任曝光、突发事件处理与调查、估计损失与迅速恢复、改善安全管理过程、发现新的问题、记录系统发生的问题等。总之,入侵检测和漏洞检测技术是一项非常重要的技术,它的完美实现会给计算机网络安全带来革命性的变化。
----入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
----漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
----一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全教育与培训、安全机构与程序和安全规则等内容,是一个复杂的系统工程。安全技术是其中一个重要的环节,入侵检测和漏洞检测系统是安全技术的核心。目前经常使用的安全技术有防火墙、防病毒软件、用户认证、加密、入侵检测和漏洞检测系统等。防火墙作为防护措施中的一层能够起到一定的作用,但事实证明它是不充分的,防火墙充当了外部网和内部网的一个屏障,但并不是所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就可以绕开防火墙,对系统的安全构成威胁。此外,安全威胁也可能来自内部,而防火墙本身也极容易被外部黑客攻破。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。
入侵检测
----1.常用的入侵检测技术
----入侵检测技术可分为五种:
----(1)基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。由于这种技术可以更准确地监控用户某一应用的行为,所以这种技术在日益流行的电子商务中也越来越受到注意,其缺点在于有可能降低技术本身的安全。
----(2)基于主机的监控技术主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交换的环境中监控,把特定的问题同特定的用户联系起来;其缺点在于主机传感器要和特定的平台相关联,对网络行为不易领会,同时加大了系统的负担。
----(3)基于目标的监控技术主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据,系统开销小,可以准确地确定受攻击的部位,受到攻击的系统容易恢复;其缺点在于实时性较差,对目标的检验数依赖较大。
----(4)基于网络的监控技术主要特征是网络监控传感器监控包监听器收集的信息。该技术不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其他数据源;其缺点在于如果数据流进行了加密,就不能审查其内容,对主机上执行的命令也感觉不到。此外,该技术对高速网络不是特别有效。
----(5)综合以上4种方法进行监控其特点是可提高侦测性能,但会产生非常复杂的网络安全方案,严重影响网络的效率,而且目前还没有一个统一的业界标准。
----2.入侵检测技术的选用
----在使用入侵检测技术时,应该注意具有以下技术特点的应用要根据具体情况进行选择:
----(1)信息收集分析时间:可分为固定时间间隔和实时收集分析两种。采用固定时间间隔方法,通过操作系统审计机制和其他基于主机的登录信息,入侵检测系统在固定间隔的时间段内收集和分析这些信息,这种技术适用于对安全性能要求较低的系统,对系统的开销影响较小;但这种技术的缺点是显而易见的,即在时间间隔内将失去对网络的保护。采用实时收集和分析技术可以实时地抑制攻击,使系统管理员及时了解并阻止攻击,系统管理员也可以记录黑客的信息;缺点是加大了系统开销。
----(2)采用的分析类型:可分为签名分析、统计分析和完整性分析。签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。在许多入侵检测系统中,都建有这种已知攻击的数据库。这种数据库可以经常更新,以对付新的威胁。签名分析的优点在于能够有针对性地收集系统数据,减少了系统的开销,如果数据库不是特别大,那么签名分析比统计分析更为有效,因为它不需要浮点运算。
----统计分析用来发现偏离正常模式的行为,通过分析正常应用的属性得到系统的统计特征,对每种正常模式计算出均值和偏差,当侦测到有的数值偏离正常值时,就发出报警信号。这种技术可以发现未知的攻击,使用灵活的统计方法还可以侦测到复杂的攻击。当然,如果高明的黑客逐渐改变入侵模式,那么还是可以逃避侦测的,而且统计传感器发出虚警的概率就会变大。
----完整性分析主要关注某些文件和对象的属性是否发生了变化。完整性分析通过被称为消息摘录算法的超强加密机制,可以感受到微小的变化。这种分析可以侦测到任何使文件发生变化的攻击,弥补了签名分析和统计分析的缺陷,但是这种分析的实时性很差。
----(3)侦测系统对攻击和误用的反应:有些基于网络的侦测系统可以针对侦测到的问题作出反应,这一特点使得网络管理员对付诸如拒绝服务一类的攻击变得非常容易。这些反应主要有改变环境、效用检验、实时通知等。当系统侦测到攻击时,一个典型的反应就是改变系统的环境,通常包括关闭联接,重新设置系统。由于改变了系统的环境,因此可以通过设置代理和审计机制获得更多的信息,从而能跟踪黑客。狡猾的黑客通常瞄准侦测传感器和分析引擎进行攻击,在这种情况下,就有必要对这些传感器和引擎进行效用评估,看它们能否正常工作。许多实时系统还允许管理员选择一种预警机制,把发生的问题实时地送往各个地方。
----(4)侦测系统的管理和安装:用户采用侦测系统时,需要根据本网的一些具体情况而定。实际上,没有两种完全相同的网络环境,因此,就必须对采用的系统进行配置。比如,可以配置系统的网络地址、安全条目等。某些基于主机的侦测系统还提供友好的用户界面,让用户说明要传感器采集哪些信息。一个好的侦测系统会为用户带来方便,让用户记录系统中发生的安全问题,在运行侦测系统的时候,还可以说明一些控制功能和效用检验机制。
----(5)侦测系统的完整性:所谓完整性就是系统自身的安全性,鉴于侦测系统的巨大作用,系统设计人员要对系统本身的自保性能有足够的重视,黑客在发动攻击之前首先要对安全机制有足够的了解后才会攻击,所以侦测系统完整性就成为必须解决的问题,经常采用的手段有认证、超强加密、数字签名等,确保合法使用,保证通信不受任何干扰。
----(6)设置诱骗服务器:有的侦测系统还在安全构架中提供了诱骗服务器,以便更准确地确定攻击的威胁程度。诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质,随后把这些信息送到一个安全的地方,供以后查用。这种技术是否采用可根据网络的自身情况而定。
漏洞检测
----1.分类
----漏洞检测技术可分为5种:
----(1)基于应用的检测技术它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
----(2)基于主机的检测技术它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统存在的问题,发现系统漏洞。它的缺点是与平台相关,升级复杂。
----(3)基于目标的检测技术它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。其基本原理是消息加密算法和哈希函数,如果函数的输入有一点变化,那么其输出就会发生大的变化,这样文件和数据流的细微变化都会被感知。这些算法加密强度极大,不易受到攻击,并且其实现是运行在一个闭环上,不断地处理文件和系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较,一旦发现改变就通知管理员。
----(4)基于网络的检测技术它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现平台的一系列漏洞,也容易安装。但是,它容易影响网络的性能,不会检验不到系统内部的漏洞。
----(5)综合的技术它集中了以上4种技术的优点,极大地增强了漏洞识别的精度。
----2.特点
----(1)检测分析的位置:在漏洞检测中,第一步是收集数据,第二步是数据分析。在大型网络中,通常采用控制台和代理结合的结构,这种结构特别适用于异构型网络,容易检测不同的平台。在不同威胁程度的环境下,可以有不同的检测标准。
----(2)报表与安装:漏洞检测系统生成的报表是理解系统安全状况的关键,它记录了系统的安全特征,针对发现的漏洞提出需要采取的措施。整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。安全漏洞数据库可以不断更新补充。
----(3)检测后的解决方案:一旦检测完毕,如果发现了漏洞,那么系统可有多种反应机制。预警机制可以让系统发送消息、电子邮件、传呼等来报告发现了漏洞。报表机制则生成综合的报表列出所有的漏洞。根据这些报告可以采用有针对性的补救措施。同侦测系统一样,漏洞检测有许多管理功能,通过一系列的报表可让系统管理员对这些结果做进一步的分析。
----(4)检测系统本身的完整性:同样,这里有许多设计、安装、维护检测系统要考虑的安全问题。安全数据库必须安全,否则就会成为黑客的工具,因此,加密就显得特别重要。由于新的攻击方法不断出现,所以要给用户提供一个更新系统的方法,更新的过程也必须给予加密,否则将产生新的危险。实际上,检测系统本身就是一种攻击,如果被黑客利用,那么就会产生难以预料的后果。因此,必须采用保密措施,使其不会被黑客利用。
实现模型
----入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵检测和漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个部分:安全服务器(Securityserver)和侦测代理(Agent)。
----如附图所示,侦测代理分布在整个网络中,大体上有三种:一是主机侦测代理,二是网络设备侦测代理,三是公用服务器侦测代理。
----主机代理中有主机侦测代理和主机漏洞检测代理两种类型,其中侦测代理动态地实现探测入侵信号,并作出相应的反应;漏洞检测代理检测系统的配置、日志等,把检测到的信息传给安全服务器和用户。
----在网段上有唯一的代理负责本网段的安全。该代理主要完成本网段的入侵检测。
----在防火墙的外部还需有专门的代理负责公用服务器的安全,这些代理也要有侦测代理和主机漏洞检测代理两种类型。在安全服务器上,有一个网络漏洞检测代理从远程对网络中的主机进行漏洞检测。
----入侵检测代理在结构上由传感器、分析器、通信管理器等部件组成。顾名思义,传感器就是安全信息感受器,它侦测诸如多次不合法的登录,对端口进行扫描等信息。传感器中有过滤正常和非正常信息的能力,它只接受有意义的安全信息。分析器首先接收来自传感器的信息,把这些信息同正常数据相比较,将结果送往通信管理器,并动态地作出一定的反应。通信管理器再把这些信息分类,送往安全服务器。
----漏洞检测代理在结构上由检测器、检测单元、通信管理器等部件组成。检测器是检测单元的管理器,它决定如何调度检测单元。检测单元是一系列的检测项,通常是一些脚本文件。通信管理器把检测的结果发给用户和安全服务器。
----每一个主机代理感受敏感的安全信息,对这些信息进行处理,作出反应,然后把一些信息交给网段代理和安全服务器处理。网段代理对本网段的安全负责,它一边监视本网段的情况,一边向安全服务器汇报。
----安全服务器中包含网络安全数据库、通信管理器、联机信息处理器等部件,它的主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,作出响应的反映,同时对本网的各安全参数进行审计和记录日志,为完善网络的安全性能提供参数。它还有一个重要的功能就是控制防火墙。从图中可以看出这些部件相互协作,为整个系统提供了一个分布式的、完整的解决方案。
结 论
----入侵检测和漏洞检测技术是计算机网络系统安全解决方案中非常重要的部分,它极大地提高了整个系统的安全性能。一个分布式的解决方案可以可靠地实现网络信息系统的安全。通过部署入侵检测和漏洞检测系统可以实现:支持内部审计、责任曝光、突发事件处理与调查、估计损失与迅速恢复、改善安全管理过程、发现新的问题、记录系统发生的问题等。总之,入侵检测和漏洞检测技术是一项非常重要的技术,它的完美实现会给计算机网络安全带来革命性的变化。
